typefreak's blog

Via dit Topic op het forum kwam ik de volgende blogpost tegen:

7 useful functions to tighten security

Met een 'prachtige' lijst van 7 functies die de beveiliging van een PHP-script kunnen verbeteren. Daarnaast veel manieren hoe het niet moet. Helaas vermelden ze dat laatste er zelf niet bij.

1) mysql_real_escape_string() - This function is very useful for preventing from SQL Injection Attack in PHP . This function adds backslashes to the special characters like quote , double quote , backslashes to make sure that the user supplied input are sanitized before using it to query. But, make sure that you are connected to the database to use this function.

Ok, handig om te vermelden dat je een verbinding met de database moet opzetten, voordat je deze functie gebruikt. De functie houdt immers rekening met de karakterset van de verbinding. Maar als de tutorial zo 'advanced' is, zou je toch ook verwachten dat het gebruik van prepared statements, al dan niet via PDO wordt omschreven. Een gemiste kans, en dat al in de eerste paragraaf.

2) addslashes() – This function works similar as mysql_real_escape_string(). But make sure that you don’t use this function when “magic_quotes_gpc” is “on” in php.ini. When “magic_quotes_gpc” is on in php.ini then single quote(‘) and double quotes (“) are escaped with trailing backslashes in GET, POST and COOKIE variables. You can check it using the function “get_magic_quotes_gpc()” function available in PHP.

Wie nog gelooft in addslashes() moet dit artikel maar eens lezen.
En een trailing backslash? Is trailing niet achter het teken? Daar is een backslash vrij nutteloos.
Over magic_quotes hoef ik hopelijk niet te beginnen, daar is de php-website erg duidelijk over.

3) htmlentities() – This function is very useful for to sanitize the user inputted data. This function converts the special characters to their html entities. Such as, when the user enters the characters like “<” then it will be converted into it’s HTML entities < so that preventing from XSS and SQL injection attack.

Dus....
htmlentities() gebruiken om SQL-injectie tegen te gaan. Dit is niet alleen dom, maar ronduit gevaarlijk. Standaard wordt het enkele aanhalingsteken (') in ieder geval niet gecodeerd. En de backslash sowieso niet. Hoe makkelijk wil je het maken voor scriptkiddies?

4) strip_tags() – This function removes all the HTML, JavaScript and php tag from the string. But you can also allow particular tags to be entered by user using the second parameter of this function.

Hier mis ik een paar waarschuwingen. Zeker als het om beveiliging gaat, is het toch wel handig om te beseffen dat strip_tags() niets veranderd aan de volgende gebruikersinvoer:

Mocht je gebruikersinvoer door strip_tags() halen, en vervolgens in een invoerveld weer tonen, dan is de applicatie nog steeds vatbaar voor Cross-Site Scriptingaanvallen.

5) md5() – Some developers store plain password in the database which is not good for security point of view. This function generates md5 hash of 32 characters of the supplied string. The hash generated from md5() is not reversible i.e can’t be converted to the original string.

Ok, dat het plain-tekst opslaan van wachtwoorden niet verstandig is spreekt voor zich. Op dat punt dus een goed stukje...
Maar, er staat nog steeds 'advanced' in de titel van de blog. En dan denk ik toch dat het wel eens handig kan zijn om te vermelden dat:

• md5 een vrij zwak hashalgoritme is, en beter vermeden kan worden.
• Salts een toegevoegde waarde hebben
• Key-strengthening misschien wel overwogen moet worden
• Er een veel algemenere Hashfunctie bestaat

Nr 6 (sha1) sla ik over, daar geldt hetzelfde voor als punt 5.

7) intval() – Please don’t laugh. I know this is not a security function, it is function which gets the integer value from the variable. But you can use this function to secure your php coding. Well, most the values supplied in GET method in URL are the id from the database and if you’re sure that the supplied value must be integer then you can use this function to secure your code.

$sql=”SELECT * FROM product WHERE id=”.intval($_GET['id']);

As, you can see above, if you’re sure that the input value is integer you can use intval() as a secrity function as well.

Als ik zeker ben dat iets een integer is, kan ik intval() gebruiken? Dat is dus precies verkeerd om. Als ik intval() gebruik, weet ik daarna zeker dat ik met een integer te maken heb. Mocht de invoer niet om te zetten zijn naar een integer, dan heb je daarna een 0. En het voorbeeld is op zich ook weer gevaarlijk. Genoeg lezers zullen het querievoorbeeld zo overnemen, en op moment dat ze niet met een integer te maken hebben intval() weg laten, waardoor SQL-injectie weer mogelijk wordt.


Tot zover de zeven 'goede' functies, en veel meer slecht advies. Trap er niet in.